Les alertes de sécurité des applications sont intégrées au journal d’audit d’Office 365

 

Les alertes de sécurité des applications en nuage rejoignent les données d’audit d’Office 365

Office 365 ne cesse d’évoluer. L’annonce récente selon laquelle Microsoft fait apparaître les alertes Office 365 Cloud App Security via des interfaces supplémentaires est un exemple de changement qui pourrait être considéré comme mineur, à moins que vous ne travailliez dans le domaine de la sécurité et de la conformité.

Une chose qui a attiré mon attention est le fait qu’Office 365 Cloud App Security (fourni avec les licences E5) envoie désormais ses alertes au journal d’audit d’Office 365. Cela est logique car les alertes et les politiques d’alerte d’Office 365 sont alimentées par les événements capturés dans le journal d’audit.

 

Analyse des enregistrements d’audit de Cloud App Security

Dans tous les cas, les événements du journal d’audit s’affichent . Comme tous les événements du journal d’audit, un certain travail est nécessaire pour décompresser et interpréter les informations stockées dans la propriété AuditData. J’ai utilisé un certain code du chapitre 21 de l’eBook Office 365 for IT Pros pour examiner quel matériel utile est inclus pour récupérer les enregistrements.

Les enregistrements du journal d’audit d’Office 365 sont normalisés, mais seulement jusqu’à un certain point. La normalisation signifie qu’un ensemble des mêmes champs de base sont inclus dans tous les enregistrements, quelle que soit la charge de travail qui génère un enregistrement. Le diable dans le détail est que le contenu de la propriété AuditData est ouvert à l’interprétation et que chaque charge de travail peut faire sa propre chose en termes de sortie. Et dans le cas de Cloud App Security, le contenu de AuditData varie en fonction d’une alerte.

Le résultat est que plus de travail que ce qui devrait être nécessaire est nécessaire pour analyser les données afin de les rendre utiles pour le reporting et l’analyse. Je n’ai trouvé que deux types d’alertes générées par Cloud App Security, c’est donc ce que traite le code ci-dessous. Vous pourriez en trouver d’autres et devoir mettre à jour le code pour gérer tout ce que Microsoft a décidé de fourrer dans AuditData pour l’alerte.

 

Il convient de souligner que certaines des alertes qui se déversent dans le journal d’audit dupliquent des événements déjà enregistrés par une charge de travail, ce qui est certainement le cas pour les recherches eDiscovery présentées ci-dessus.

Facebook
Twitter
LinkedIn